Bonjour, J'ai 3 ordis en réseau à la maison et ils sont (je crois) tous infectés par bagle (identifié par spybot sur une des machine). Les symptomes sont les suivants: - lenteur du système - écran bleu - fenêtre d'invite: select file to crack - avast disparu et impossibilité de le relancer (ou tout autre antivirus) - "n'est pas une application Win32 valide" - impossiblilité de démarrer en mode sans échec J'ai essayé pas mal de manips - sans succès - même si les symptomes évoluent: ex: je n'ai plus l'invite "select file to crack. J'ai essayé elibagla qui a détecté qqqchose au début mais sans succès pour l'éliminer. Maintenant, le scan d'elibagla ne donne rien. J'ai réussi (après plusieurs bugs en fin d'analyse) à faire tourner combofix sur une des machines: je poste le rapport ci-dessous: Je m'en remets à vous car j'avoue que ce problème dépasse largement mes compétences. ComboFix 08-08-08.07 - Anthony 2008-08-09 9:53:42.3 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.216 [GMT 2:00] Endroit: C:\Documents and Settings\Anthony\Bureau\xComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\InfoSat.txt . ---- Previous Run ------- . C:\InfoSat.txt . ((((((((((((((((((((((((((((( Fichiers créés 2008-07-09 to 2008-08-09 )))))))))))))))))))))))))))))))))))) . 2008-08-09 03:15 . 2008-08-09 03:15 <REP> d-------- C:\WINDOWS\LastGood 2008-08-09 03:15 . 2008-08-09 09:30 <REP> d-------- C:\WINDOWS\BDOSCAN8 2008-08-09 02:44 . 2008-08-09 02:44 <REP> d-------- C:\ComboFax 2008-08-09 01:31 . 2008-08-09 01:37 <REP> d-------- C:\gt 2008-08-09 01:16 . 2008-07-02 13:33 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe 2008-08-09 01:16 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe 2008-08-06 15:30 . 2008-08-06 15:30 <REP> d-------- C:\Program Files\SCC 2008-08-04 11:08 . 2008-08-04 11:08 <REP> d-------- C:\Program Files\Microsoft Keyboard Layout Creator 1.4 2008-08-01 22:12 . 2008-08-01 22:12 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-08-01 22:12 . 2008-08-01 22:12 1,409 --a------ C:\WINDOWS\QTFont.for 2008-07-31 21:57 . 2008-08-08 15:51 <REP> d-------- C:\Program Files\nLite . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-09 07:50 --------- d-----w C:\Documents and Settings\Anthony\Application Data\SolidDocuments 2008-08-09 00:45 --------- d-----w C:\Program Files\PowerArchiver 2008-08-08 23:12 3,802 ----a-w C:\WINDOWS\system32\tmp.reg 2008-08-08 20:15 --------- d-----w C:\Program Files\Spybot - Search & Destroy 2008-08-08 19:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-08-08 13:50 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-08-08 13:50 --------- d-----w C:\Program Files\Dialang 2008-08-08 10:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help 2008-07-28 12:15 --------- d-----w C:\Documents and Settings\Anthony\Application Data\dvdcss 2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-17 09:01 --------- d-----w C:\Program Files\mp3DirectCut 2008-06-17 08:26 --------- d-----w C:\Program Files\PDF Password Remover v3.0 2008-06-17 07:51 --------- d-----w C:\Program Files\FaceMorpher Lite 2008-06-17 07:50 --------- d-----w C:\Program Files\Soliddocuments 2008-06-17 07:50 --------- d-----w C:\Program Files\Fichiers communs\SolidDocuments 2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-13 18:33 --------- d-----w C:\Program Files\Windows Live 2008-06-13 18:32 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-06-13 18:29 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-06-11 08:09 --------- d-----w C:\WINDOWS\system32\config\systemprofile\Application Data\SolidDocuments 2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll . ------- Sigcheck ------- 2007-06-13 15:22 3199488 d47db3366ecc9e9de86fb24eaa10b411 C:\WINDOWS\explorer.exe 2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe 2003-04-24 14:00 1008128 82fe0d400cb1ac937234467b927b867a C:\WINDOWS\$NtServicePackUninstall$\explorer.exe 2004-08-19 16:09 1036288 2a7bd330924252a2fd80344fc949bb72 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe 2007-06-13 15:22 3199488 d47db3366ecc9e9de86fb24eaa10b411 C:\WINDOWS\ServicePackFiles\i386\explorer.exe 2007-06-13 15:22 1037312 d0288319660edcfed07c7e74c4ea38a5 C:\WINDOWS\system32\dllcache\explorer.exe . ((((((((((((((((((((((((((((( snapshot@2008-08-09_ 0.45.25.62 ))))))))))))))))))))))))))))))))))))))))) . + 2008-08-09 01:15:25 45,056 ----a-w C:\WINDOWS\BDOSCAN8\avxdisk.dll + 2008-08-09 01:15:26 10,240 ----a-w C:\WINDOWS\BDOSCAN8\avxs.dll + 2008-08-09 01:15:27 27,136 ----a-w C:\WINDOWS\BDOSCAN8\avxt.dll + 2008-08-09 01:15:40 181,760 ----a-w C:\WINDOWS\BDOSCAN8\bdcore.dll + 2006-05-24 23:21:00 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll + 2006-05-24 23:21:14 53,248 ----a-w C:\WINDOWS\BDOSCAN8\ipsupd.dll + 2008-08-09 01:15:53 142,848 ----a-w C:\WINDOWS\BDOSCAN8\libfn.dll + 2008-08-09 01:15:32 86,016 ----a-w C:\WINDOWS\BDOSCAN8\librtvr.dll + 2006-05-24 23:22:06 53,248 ----a-w C:\WINDOWS\bdoscandel.exe + 2006-05-24 23:21:00 118,784 ----a-w C:\WINDOWS\Downloaded Program Files\bdupd.dll + 2006-05-24 23:21:14 53,248 ----a-w C:\WINDOWS\Downloaded Program Files\ipsupd.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" [2007-09-20 16:35 202024] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-08 22:14 2156368] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496] "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-01-20 21:10 335872] "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-11-12 12:48 157592] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-07-20 23:26 185896] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24 286720] "ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-04-17 12:41 196608] "ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-04-13 06:07 69632] "SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-30 00:14 155648] "PDF3 Registry Controller"="C:\Program Files\ScanSoft\PDF Professional 3.0\\RegistryController.exe" [2005-04-29 02:58 106496] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-09-16 09:43 274432] "NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 16:57 153136] "NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 10:51 1836328] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792] "UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2008-05-02 06:15 15872] "ATIModeChange"="Ati2mdxx.exe" [2001-09-04 16:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360] C:\Documents and Settings\Anthony\Menu D‚marrer\Programmes\D‚marrage\ RocketDock.lnk - C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe [2006-05-14 22:47:48 344064] UberIcon.lnk - C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe [2006-02-05 14:20:14 180224] Y'z Shadow.lnk - C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe [2002-09-30 21:09:06 131072] Y'z Toolbar.lnk - C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe [2002-09-29 14:41:10 90112] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.yv12"= yv12vfw.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys] @="Driver" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "C:\\Program Files\\Real\\RealPlayer\\realplay.exe"= "C:\\Program Files\\iTunes\\iTunes.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Program Files\\Fichiers communs\\Nero\\Nero Web\\SetupX.exe"= "C:\\Program Files\\GrabIt\\GrabIt.exe"= "C:\\Program Files\\Messenger\\msmsgs.exe"= "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "995:TCP"= 995:TCP:grabit "995:UDP"= 995:UDP:grabit R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 10:13] R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 12:46] R3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys [2003-04-08 09:56] S3 DTVFW;DVB-T USB adapter firmware;C:\WINDOWS\system32\DRIVERS\dtvfw.sys [2005-11-30 10:51] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 15:18] S3 PhilCam8116_XP;Logitech QuickCam Pro 3000(PID_08B1);C:\WINDOWS\system32\DRIVERS\CamDrL20.sys [2004-05-21 21:16] S3 UPnPService;UPnPService;C:\Program Files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 17:00] S3 usbdtv;DVB-T TV Tuner;C:\WINDOWS\system32\Drivers\usbdtv.sys [2005-11-30 10:51] S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{07949633-F425-C392-0103-050807080600}] C:\WINDOWS\system32\scvhost.exe . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' 2008-06-21 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 13:42] . . ------- Supplementary Scan ------- . R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 -: Open with Scansoft PDF Converter 3.0 - C:\Program Files\ScanSoft\PDF Professional 3.0\IEShellExt.dll /100 O8 -: Save Flash by &GetFlash - C:\PROGRA~1\GetFlash\getflash.htm O8 -: Sothink SWF Catcher - C:\Program Files\Fichiers communs\SourceTec\SWF Catcher\InternetExplorer.htm O17 -: HKLM\CCS\Interface\{C657A558-9788-4E75-943D-316CBFFC43DC}: NameServer = 212.27.54.252,212.27.53.252 O17 -: HKLM\CCS\Interface\{DE1304CF-EDCF-4C04-A690-BFDD3EC49A61}: NameServer = 212.27.32.176,212.27.32.177 O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab C:\WINDOWS\Downloaded Program Files\oscan8.inf C:\WINDOWS\bdoscandellang.ini C:\WINDOWS\bdoscandel.exe C:\WINDOWS\Downloaded Program Files\live.ini C:\WINDOWS\Downloaded Program Files\scanoptions.tsi C:\WINDOWS\Downloaded Program Files\lang.ini C:\WINDOWS\Downloaded Program Files\ipsupd.dll C:\WINDOWS\Downloaded Program Files\bdupd.dll C:\WINDOWS\Downloaded Program Files\libfn.dll C:\WINDOWS\Downloaded Program Files\bdcore.dll C:\WINDOWS\Downloaded Program Files\oscan8.ocx ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-09 09:55:56 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-08-09 9:57:19 ComboFix-quarantined-files.txt 2008-08-09 07:57:11 ComboFix2.txt 2008-08-08 22:50:19 Pre-Run: 8,468,697,088 octets libres Post-Run: 8,460,533,760 octets libres 188 --- E O F --- 2008-08-08 10:12:37 Merci beaucoup pour votre aide.

re, impeccable , 1-Supprimes ce qu'il y a dans la quarantaine de Malwarebytes ( via celle-ci bien sûr ) 2- Refais un coup de CCleaner ( registre compris ) 3- Mets à jours ce qui suit, c'est important ( des version pas à jours = failles de sécurité ) : * pour la console Java : aller sur : Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > "Mettre à jour maintenant" > cocher la case "Automatiser la détection des mises à jour". ( puis désinstalles les versions antérieurs via "paneau de configuration" et "ajout/suppression de prg" ...) * Adobe Reader : télécharges et installes la dernière version ici (désinstalles avant l'ancienne version via son propre prg de désinstallation): http://www.commentcamarche.net/telecharger/telecharger 27 acrobat reader 4- On va re-téléchargé Hijackthis et finalyser avec ce PC : Télécharges et installes le logiciel HijackThis : ici :ftp://ftp.commentcamarche.com/download/HJTInstall.exe ou ici : http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe a )- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation . A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge . Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe " . tuto pour utilisation Regardes ici, c'est parfaitement expliqué en images (merci balltrap34) : http://pageperso.aol.fr/balltrap34/demohijack.htm b )-!!Déconnectes toi et fermes toute tes applications en cours !! Cliques sur le raccourci du bureau pour lancer le prg : fais un scan "monjack" (ou HijackThis renommé) en cliquant sur : "Do a system scan and save a logfile" ---> Postes le rapport généré pour analyse et attends la suite ...

Virus bagle - à l'aide !!!!! - Forum Virus

Réponse 141 / 189

sKe69 Messages postés 21955 Statut Contributeur sécurité 463

Ok ...

1- vérifies ce-ci :
Avoir accès aux fichiers cachés :

Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

puis fais ce-ci :

2- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche :
C:\WINDOWS\ZDPLUSSEARCH.INI

Cliques sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copies le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

Fais de même pour :
C:\WINDOWS\System32\mscms.dll
C:\WINDOWS\system32\drivers\sis7012.sys
C:\WINDOWS\System32\Drivers\arxc4s1z.SYS
C:\Documents and Settings\Anthony\Bureau\yop.exe
C:\Documents and Settings\Anthony\Bureau\eee\setupfre.exe
C:\Documents and Settings\Anthony\Bureau\eee\layout01\setup.exe
C:\Documents and Settings\Anthony\Bureau\eee\SERIAL\ViewKeyXP.exe
C:\Documents and Settings\Anthony\Bureau\eee\SERIAL\xpkey.exe

---> postes moi donc ces 9 rapports (Surtout le début avec le listing des AV et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

PS : peux tu me dire ce qui ce trouve dans ce dossier stp ,
--> c:\Documents and Settings\Anthony\Bureau\eee\XP\drivers\Chipset

Réponse 142 / 189